Informacije o kritičnih
(CVE-2019-3568) v mobilni aplikaciji WhatsApp, ki vam omogoča, da svojo kodo izvedete s pošiljanjem posebej oblikovanega glasovnega klica. Za uspešen napad ni potreben odgovor na zlonamerni klic; Vendar se tak klic pogosto ne prikaže v dnevniku klicev in napad lahko uporabnik ostane neopažen.
Ranljivost ni povezana s protokolom Signal, ampak jo povzroča prekoračitev medpomnilnika v skladu VoIP, specifičnem za WhatsApp. Težavo je mogoče izkoristiti s pošiljanjem posebej oblikovane serije paketov SRTCP v napravo žrtve. Ranljivost vpliva na WhatsApp za Android (popravljeno v 2.19.134), WhatsApp Business za Android (popravljeno v 2.19.44), WhatsApp za iOS (2.19.51), WhatsApp Business za iOS (2.19.51), WhatsApp za Windows Phone ( 2.18.348) in WhatsApp za Tizen (2.18.15).
Zanimivo, v lanskem WhatsApp in Facetime Project Zero sta opozorila na napako, ki omogoča pošiljanje in obdelavo kontrolnih sporočil, povezanih z glasovnim klicem, na stopnji, preden uporabnik sprejme klic. WhatsAppu je bilo priporočeno, da odstrani to funkcijo, in pokazalo se je, da pri izvajanju testa zamegljevanja pošiljanje takšnih sporočil povzroči zrušitve aplikacije, tj. Še lani je bilo znano, da so v kodi potencialne ranljivosti.
Potem ko so v petek odkrili prve sledi ogroženosti naprave, so Facebookovi inženirji začeli razvijati metodo zaščite, v nedeljo so z rešitvijo blokirali vrzel na ravni strežniške infrastrukture, v ponedeljek pa so začeli distribuirati posodobitev, ki je popravila odjemalsko programsko opremo. Ni še jasno, koliko naprav je bilo napadenih z ranljivostjo. V nedeljo so poročali le o neuspešnem poskusu ogrožanja pametnega telefona enega od borcev za človekove pravice z metodo, ki spominja na tehnologijo skupine NSO, ter o poskusu napada na pametni telefon zaposlenega pri organizaciji za človekove pravice Amnesty International.
Problem je bil brez nepotrebne reklame Izraelsko podjetje NSO Group, ki je lahko uporabilo ranljivost za namestitev vohunske programske opreme na pametne telefone za zagotavljanje nadzora s strani organov pregona. NSO je dejal, da zelo skrbno pregleduje stranke (sodeluje le z organi kazenskega pregona in obveščevalnimi službami) in preiskuje vse pritožbe glede zlorab. Zlasti se je zdaj začelo sojenje v zvezi z zabeleženimi napadi na WhatsApp.
NSO zanika vpletenost v konkretne napade in trdi le, da razvija tehnologijo za obveščevalne agencije, vendar namerava žrtev aktivist za človekove pravice na sodišču dokazati, da si podjetje deli odgovornost s strankami, ki zlorabljajo programsko opremo, ki jim je bila na voljo, in svoje izdelke prodajajo službam, znanim po njihove kršitve človekovih pravic.
Facebook je sprožil preiskavo morebitne ogroženosti naprav in prejšnji teden prve rezultate zasebno delil z ameriškim ministrstvom za pravosodje, o problemu pa je obvestil tudi več organizacij za človekove pravice, da bi uskladili ozaveščanje javnosti (po vsem svetu je nameščenih približno 1.5 milijarde WhatsApp).
Vir: opennet.ru